ICS 35.040 L80 GB 中华人民共和国国家标准 GB/T 30271—2013 信息安全技术 信息安全服务能力评估准则 Information security technologyAssessment criteria for information security service capability 2013-12-31发布 2014-07-15实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T30271—2013 目 次 前言 引言 范围 规范性引用文件 2 术语、定义和缩略语 3 3.1术语和定义 3.2缩略语 概述 4 4.1 信息安全服务过程概述 4.2 能力评定原则 5信息安全服务过程： 5.1 D01组织战略 5.2 D02规划设计 15 5.3 D03实施交付 31 5.4 D04监视支持 39 5.5 D05检查改进 52 6 信息安全服务能力级别 6.1 概述· 57 能力级别1 6.2 基本执行 57 6.3 能力级别2 计划跟踪 57 6.4 能力级别3 充分定义 58 6.5能力级别4 量化控制 59 能力级别5 连续改进 59 7信息安全服务能力评 60 参考文献 62 GB/T 30271—2013 前言 本标准按照GB/T1.1一2009给出的规则起草。 本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本标准主要起草单位：中国信息安全测评中心、北京江南博仁科技有限公司、北京中天安信息技术 服务有限公司。 本标准主要起草人：张利、佟鑫、李斌、班晓芳、王、刘作康、任育波、吴慎夕。 I GB/T 30271—2013 引言 本标准是对提供信息安全服务的组织进行能力评估，在编制过程中考虑到国内环境与信息安全行 国际或区域标准制定而成 Ⅱ GB/T30271—2013 信息安全技术 信息安全服务能力评估准则 1范围 本标准规定了服务过程模型和信息安全服务商的服务能力的评估准则。 本标准适用于对信息安全服务提供商的能力进行评估，也适用于服务提供商对于自身能力的改善 提供指导。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件 GB/T20984—2007信息安全风险评估规范 GB/T25069一2010信息安全技术术语 GB/T30283信息安全技术信息安全服务分类 3术语、定义和缩略语 3.1术语和定义 GB/T25069一2010界定的以及下列术语和定义适用于本文件。 3.1.1 能力等级 abilitylevel 流程领域内流程改善达到的程度。 注：能力等级由流程领域内适当的特定及一般执行方法所定义。 3.1.2 基本实践 basepractices 系统工程过程中应存在的性质，只有当所有这些性质完全实现后，才可说满足了这个过程域的 要求。 注：一个过程域由基本实践(BP)组成。 3.1.3 能力成熟度模型 capabilitymaturitymodel 有关组织的服务或开发过程中各个发展阶段的定义、实现、质量控制和改善的模型化描述。 注：模型专注于改善组织的流程，包含一个或多个有效流程的必要元素，并且描述由特定的、不成熟的流程到有组 织的、成熟的流程的品质改善与效率的成熟模型。 3.1.4 信息安全服务 information security service 面向组织或个人的各类信息安全保障需求，由服务提供方按照服务协议所执行的一个信息安全过 程或任务。 注：通常是基于信息安全技术、产品或管理体系的，通过外包的形式，由专业信息安全人员所提供的支持和帮助。 1